USG2100与启明星辰设备IPSEC VPN对接配置案例

组网：天清汉马-----INTERNET------USG2100

组网说明：USG2100和启明星辰天清汉马直接接入INTERNET，USG2100与启明星辰天清汉马做IPSEC VPN，本案例以启明星辰天清汉马为基准，修改USG2100相关配置建立IPSEC VPN。

一、天清汉马配置（在附件中有图所示）：

1、  地址对象配置：

2、  安全策略配置：

3、  IKE  配置：

4、  IPSEC 配置：

5、  VPN遂道信息：

二、USG2100配置：

acl number 3000

 rule 5 permit ip source 192.168.106.0 0.0.0.255 destination192.168.254.0 0.0.0.255

 #                                        

ike proposal 1

 encryption-algorithm 3des-cbc

 dh group2

 authentication-algorithm md5

#

ike peer ike47104644480

 pre-shared-key venus.fw.20110702

 ike-proposal 1

 undo version 2

 remote-address 61.54.227.136

 nat traversal

#

ipsec proposal prop47104644480

 esp encryption-algorithm 3des

#

ipsec policy ipsec4710464448 1 isakmp

 security acl 3000

 pfs dh-group2

 ike-peer ike47104644480

 proposal prop47104644480

 local-address 61.54.227.116

 sa duration time-based 10800

#

三、小结：

    在USG2100上，NAT和IPSEC是同一设备，在USG2100上面没有对感兴趣流量做NO NAT设置（感兴趣流量不进行NAT转换）。也能建立IPSEC VPN。